Panie Jarosławie super wytłumaczone. Mi taka forma bardzo odpowiada. Coś jak wykład ( ale prowadzony z pasją). A malkontentom jak się nie podoba, że za długie to od każdego oglądniętego filmiku lepiej będzie przeczytać dokumentację lub artykuły - tam macie wszystko na sucho. Pozdrawiam serdecznie
Dziękuję. Oglądam całą serię po pracy żeby trochę się doedukować. Jak dla mnie dobre tempo - proszę się nie sugerować komentarzami o "bezsensownych dywagacjach". Ja na przykład lubię mieć czas na refleksje. Gdyby było szybciej to musiał bym cofać po chwili analizy.
Czyli jak dobrze rozumiem certyfikaty które są wystawiane dla podmiotów wystawiają po prostu firmy korzystające ze specjalnego oprogramowania do certyfikacji czegoś w stylu AD CS tylko na potrzeby globalne?
ok 27 minuty - gwarantem nie wystawiania lewych certyfikatów przez urząd certyfikacyjny ma być niechęć do straty zaufania... tyle, że pytanie kto wystawia certyfikat, tzn kto klika przycisk "certyfikuj klucz publiczny", przecież nie urząd certyfikacyjny jako instytucja, nie budynek tylko człowiek pracownik tegoż urzędu, zatem pytanie ile trzeba dać kasy pracownikowi pracującemu w urzędzie a nie instytucji. To t.j. idziemy do banku i bierzemy kredyt na lewe nazwisko... nie musimy przekupywać całego banku, tylko "babkę w okienku". Dalej, pozostaje jeszcze kwestia na ile zły koalicjant 1 jest przebiegły i na ile potrafi oszukać pracownika CA.... oglądam dalej.
ok. 1:05 - gdzie mowa jest o sposobie generowania pary kluczy asymetrycznych... oczywiście, tak samo zgadzam się z tym, że nie dopuszczalne jest korzystanie z narzędzi zewnętrznych online do generowania kluczy. Ale... jeszcze bym dodał o kwestii zaufania do biblioteki generującej. Jeśli się nie mylę, to ileś lat temu była afera (już nie pamiętam dokładnie) chyba Windows miał napisany systemowy generator liczb losowych specjalnie w taki sposób, aby drastycznie zmniejszyć pulę generowanych liczb pierwszych dla RSA dla klucza, co za tym szło, jak ktoś znał algorytmikę wyliczania klucza z użyciem owego generatora liczb losowych, to miał małą pulę kluczy do odgadywania a to dawało możliwość odgadnięcia klucza w sensownym czasie. Tutaj nie jestem pewien, nie badałem głeboko tematu. O ile się nie mylę, to OpenSSL ma swój generator liczb losowych i nie korzysta z systemowego.. takie przynajmniej miałem wrażenie przy używaniu biblioteki OpenSSL. Argument z tym, aby nie instalować nielegalnego softu, bo może nam dodać swój felerny CA do listy zaufanych w systemie - to ja mam pytanie to jakiemu oprogramowaniu możemy zaufać jak tak? Jak soft jest legalny bo go kupię to już nie będzie instalował swojego CA? No nie. Ja się jakoś mocno nie znam, ale moim zdaniem, to po pierwsze, programy antywirusowe powinny przeglądać systemową i przeglądarkową listę CA i zgłaszać podejrzane. Po drugie, powinien to robić sam system. Jeśli się nie da, to system powinien wywalać chociaż okno dialogowe ostrzegawcze za każdym razem, gdy tylko oprogramowanie próbuje doinstalować swój certyfikat urzędu certyfikacji i nie powinno być możliwości innego dodania certyfikatu jak tylko poprzez bibliotekę systemową pokazującą ostrzegawcze okno dialogowe.
@@AdminAkademia No właśnie, wszystko kwestia taka, komu ufamy. Jak sam próbowałem na potrzeby systemu krypto-głosowania online wymyśleć algorytm potwierdzający autentyczność klucza publicznego obcej osoby, to w sumie doszedłem do czegoś bardzo podobnego do X.509. Problemem w moim algorytmie była kwestia zaufania do instytucji, która wystawia certyfikat dla klucza osoby uprawnionej do głosowania, nie chciałem aby zaistniała możliwość jak wyżej opisałem dla X.509. Pewnym rozwiązaniem było rozszerzenie algorytmu o rozwiązanie takie, że osoby certyfikujące będą się pilnowały wzajemnie czyli wyborca uzyskuje dla swojego klucza publicznego certyfikat CertA, który wystawi urzędnik A oraz certyfikat certB, który wystawi urzędnik B, przy czym nie jest przypadkowe to, który urzędnik musi wystawić certyfikat.. jest to wyliczane algorytmem na podstawie ogólno dostępnego ciągu powstającego systematycznie podczas działania systemu. Zatem urzędnik A jeśli dostanie w łapę i wystawi certA, to nie będzie wiedział jaki inny urzędnik wykona drugą weryfikację. Każda osoba znająca algorytm (publicznie podany) będzie mogła wyliczyć dla każdego wyborcy którzy urzędnicy powinni wystawić certyfikat, a w momencie wystawiania certA nie jest możliwe obliczenie urzędnika B. Także urzędnik A nie dogada się z urzędnikiem B. To tak w ogromnym uproszczeniu. Ten sam algorytm można by być może przenieść do X.509.
Jak ja jako użytkownik mam się zorientować że np. jakaś aplikacja albo inny maleware nie "podrzucił" mi wadliwego certyfikatu? Mam sprawdzać każdy cert w mmc po kolei? To by wymagało ode mnie znajomości wszystkich zaufanych urzędów certyfikujących. Czy Windows Update albo jakaś inna usługa robi to za mnie? A jeżeli nie, może mogę takie "sprawdzenie i czyszczenie certów" wymusić? Jeżeli mogę to jak to zrobić? Antywirus? System operacyjny?
Dziękuje za szybką i treściwą odpowiedź. Sam problemu z profilaktyką nie mam, lecz często mam styczność z komputerami innych osób, którzy po dość krótkim użytkowaniu komputera potrafią doprowadzić go do marnego stanu :D Przy czyszczeniu takich kompów z różnych śmieci, taka wiedza się przydaje. Jak będę dziś w domu to z ciekawości potestuje trochę na wirtualce.
Sprawdzałem na sobie (Windows 10). Certy można spokojnie wywalić, system operacyjny zaciąga je sobie na nowo podczas próby skorzystania z internetu (strona www lub np. Windows update). Certyfikaty są przechowywane również w rejestrze: HKLM\SOFTWARE\Microsoft\SystemCertificates Wygląda na to że gdy strona przedstawia się jakimś certyfikatem system go sobie po prostu dopisuje. A raczej nie "po prostu" tylko wcześniej sprawdza czy dany cert jest ok. Tylko nie potrafię odpowiedzieć sobie na pytanie jak to robi, moje umiejętności władania Wiresharkiem są na zbyt niskim poziomie by sprawdzić czy potwierdza to z jakimś innym serwerem któremu ufa. Jeśli tak faktycznie jest to musi mieć zaszyty zaufany certyfikat gdzieś głębiej (jak np. plik z hasłami) albo w jakiejś dll'ce. Po chwili poszukiwań natknąłem się na informacje że w systemie Windows XP i w innych produktach firmy Microsoft zostały zamieszczone listy firm i organizacji uważanych za urzędy zaufane. Jeżeli użytkownik otrzyma certyfikat wystawiony przez niezaufany urząd główny, komputer nawiąże połączenie z witryną Windows Update w sieci Web w celu sprawdzenia, czy ten urząd certyfikacji został dodany przez firmę Microsoft do listy urzędów zaufanych. Sprawdzanie przez Windows Update certyfikatów od urzędów głównych których nie ma na tej standardowej liście można wyłączyć dodając klucz w rejestrze: Software\Policies\Microsoft\SystemCertificates\AuthRoot REG_DWORD DisableRootAutoUpdate na wartość 1 Mam odpowiedź na swoje pytanie. Może się kiedyś komuś przyda :)
Jarosław Karcewicz na razie jestem na odc 4 o x509 klucza publicznego ale odcinki sa długie, myślałem dlaczego sam mam wątpliwość ze coś jest szyfrowane a każdy i tak to odszyftowuje, nie każdy ma czas aby obejrzeć od deski do deski. ale lepsze długie odcinki i dobrze wytlumaczone niż krótkie i po lebkach:)
Znacznie za dlugie te filmy, mozna by temat omowic o polowe krócej, w dzisiejszym świecie gdzie liczy sie czas. Za duzo tez niepotrzebnego dywagowania o niczym odbiegajac od konkretów. Poza tym calkiem ok.
Panie Jarosławie super wytłumaczone. Mi taka forma bardzo odpowiada. Coś jak wykład ( ale prowadzony z pasją). A malkontentom jak się nie podoba, że za długie to od każdego oglądniętego filmiku lepiej będzie przeczytać dokumentację lub artykuły - tam macie wszystko na sucho. Pozdrawiam serdecznie
@@AdminAkademia trzymam kciuki za kanał. Mało wartościowego kontentu o IT na polskim TH-cam.
Łopatologicznie, prosto, bardzo dobrze wytłumaczone. Jak zwykle zresztą.
Klarowne merytorycznie tłumaczenie oraz dydaktycznie bardzo dobre.
Diametralnie kawał dobrej roboty.
Kapitalne, delikatna sugestia: utworzenie playlisty tematycznej na kanale. Pozdrawiam i czekam na więcej.
Jarosław Karcewicz dokładnie o to chodziło. Materiały są PRO, jestem fanem.
Dziękuję świetny materiał
Jarku Dziękuje naprawdę dobrze wytłumaczone
Dziękuję. Oglądam całą serię po pracy żeby trochę się doedukować. Jak dla mnie dobre tempo - proszę się nie sugerować komentarzami o "bezsensownych dywagacjach". Ja na przykład lubię mieć czas na refleksje. Gdyby było szybciej to musiał bym cofać po chwili analizy.
Przyjemnie się Ciebie słucha Jarku. Powodzenia.
Czyli jak dobrze rozumiem certyfikaty które są wystawiane dla podmiotów wystawiają po prostu firmy korzystające ze specjalnego oprogramowania do certyfikacji czegoś w stylu AD CS tylko na potrzeby globalne?
Pieknie :)
W którym odcinku znajdę informację o lokalnym urzędzie certyfikującym ?
... Lux
Super
jest Pan wielki. Dziekuje!!!
Chce rozszyfrować klucz publiczny i wyskakuje "no date" i nie wiem co zrobić.
Jak zwykle na najwyższym poziomie, co planuje Pan po serii kryptografii?
dodałbym jeszcze do propozycji tematyke "wirtualizacji", która zaczyna odgrywać coraz większą rolę w dzisiejszym świecie IT
ok 27 minuty - gwarantem nie wystawiania lewych certyfikatów przez urząd certyfikacyjny ma być niechęć do straty zaufania... tyle, że pytanie kto wystawia certyfikat, tzn kto klika przycisk "certyfikuj klucz publiczny", przecież nie urząd certyfikacyjny jako instytucja, nie budynek tylko człowiek pracownik tegoż urzędu, zatem pytanie ile trzeba dać kasy pracownikowi pracującemu w urzędzie a nie instytucji. To t.j. idziemy do banku i bierzemy kredyt na lewe nazwisko... nie musimy przekupywać całego banku, tylko "babkę w okienku". Dalej, pozostaje jeszcze kwestia na ile zły koalicjant 1 jest przebiegły i na ile potrafi oszukać pracownika CA.... oglądam dalej.
ok. 1:05 - gdzie mowa jest o sposobie generowania pary kluczy asymetrycznych... oczywiście, tak samo zgadzam się z tym, że nie dopuszczalne jest korzystanie z narzędzi zewnętrznych online do generowania kluczy. Ale... jeszcze bym dodał o kwestii zaufania do biblioteki generującej. Jeśli się nie mylę, to ileś lat temu była afera (już nie pamiętam dokładnie) chyba Windows miał napisany systemowy generator liczb losowych specjalnie w taki sposób, aby drastycznie zmniejszyć pulę generowanych liczb pierwszych dla RSA dla klucza, co za tym szło, jak ktoś znał algorytmikę wyliczania klucza z użyciem owego generatora liczb losowych, to miał małą pulę kluczy do odgadywania a to dawało możliwość odgadnięcia klucza w sensownym czasie. Tutaj nie jestem pewien, nie badałem głeboko tematu. O ile się nie mylę, to OpenSSL ma swój generator liczb losowych i nie korzysta z systemowego.. takie przynajmniej miałem wrażenie przy używaniu biblioteki OpenSSL.
Argument z tym, aby nie instalować nielegalnego softu, bo może nam dodać swój felerny CA do listy zaufanych w systemie - to ja mam pytanie to jakiemu oprogramowaniu możemy zaufać jak tak? Jak soft jest legalny bo go kupię to już nie będzie instalował swojego CA? No nie. Ja się jakoś mocno nie znam, ale moim zdaniem, to po pierwsze, programy antywirusowe powinny przeglądać systemową i przeglądarkową listę CA i zgłaszać podejrzane. Po drugie, powinien to robić sam system. Jeśli się nie da, to system powinien wywalać chociaż okno dialogowe ostrzegawcze za każdym razem, gdy tylko oprogramowanie próbuje doinstalować swój certyfikat urzędu certyfikacji i nie powinno być możliwości innego dodania certyfikatu jak tylko poprzez bibliotekę systemową pokazującą ostrzegawcze okno dialogowe.
@@AdminAkademia No właśnie, wszystko kwestia taka, komu ufamy. Jak sam próbowałem na potrzeby systemu krypto-głosowania online wymyśleć algorytm potwierdzający autentyczność klucza publicznego obcej osoby, to w sumie doszedłem do czegoś bardzo podobnego do X.509. Problemem w moim algorytmie była kwestia zaufania do instytucji, która wystawia certyfikat dla klucza osoby uprawnionej do głosowania, nie chciałem aby zaistniała możliwość jak wyżej opisałem dla X.509. Pewnym rozwiązaniem było rozszerzenie algorytmu o rozwiązanie takie, że osoby certyfikujące będą się pilnowały wzajemnie czyli wyborca uzyskuje dla swojego klucza publicznego certyfikat CertA, który wystawi urzędnik A oraz certyfikat certB, który wystawi urzędnik B, przy czym nie jest przypadkowe to, który urzędnik musi wystawić certyfikat.. jest to wyliczane algorytmem na podstawie ogólno dostępnego ciągu powstającego systematycznie podczas działania systemu. Zatem urzędnik A jeśli dostanie w łapę i wystawi certA, to nie będzie wiedział jaki inny urzędnik wykona drugą weryfikację. Każda osoba znająca algorytm (publicznie podany) będzie mogła wyliczyć dla każdego wyborcy którzy urzędnicy powinni wystawić certyfikat, a w momencie wystawiania certA nie jest możliwe obliczenie urzędnika B. Także urzędnik A nie dogada się z urzędnikiem B. To tak w ogromnym uproszczeniu. Ten sam algorytm można by być może przenieść do X.509.
Jak ja jako użytkownik mam się zorientować że np. jakaś aplikacja albo inny maleware nie "podrzucił" mi wadliwego certyfikatu? Mam sprawdzać każdy cert w mmc po kolei? To by wymagało ode mnie znajomości wszystkich zaufanych urzędów certyfikujących. Czy Windows Update albo jakaś inna usługa robi to za mnie? A jeżeli nie, może mogę takie "sprawdzenie i czyszczenie certów" wymusić? Jeżeli mogę to jak to zrobić? Antywirus? System operacyjny?
Dziękuje za szybką i treściwą odpowiedź. Sam problemu z profilaktyką nie mam, lecz często mam styczność z komputerami innych osób, którzy po dość krótkim użytkowaniu komputera potrafią doprowadzić go do marnego stanu :D Przy czyszczeniu takich kompów z różnych śmieci, taka wiedza się przydaje.
Jak będę dziś w domu to z ciekawości potestuje trochę na wirtualce.
Sprawdzałem na sobie (Windows 10). Certy można spokojnie wywalić, system operacyjny zaciąga je sobie na nowo podczas próby skorzystania z internetu (strona www lub np. Windows update).
Certyfikaty są przechowywane również w rejestrze:
HKLM\SOFTWARE\Microsoft\SystemCertificates
Wygląda na to że gdy strona przedstawia się jakimś certyfikatem system go sobie po prostu dopisuje.
A raczej nie "po prostu" tylko wcześniej sprawdza czy dany cert jest ok. Tylko nie potrafię odpowiedzieć sobie na pytanie jak to robi, moje umiejętności władania Wiresharkiem są na zbyt niskim poziomie by sprawdzić czy potwierdza to z jakimś innym serwerem któremu ufa. Jeśli tak faktycznie jest to musi mieć zaszyty zaufany certyfikat gdzieś głębiej (jak np. plik z hasłami) albo w jakiejś dll'ce.
Po chwili poszukiwań natknąłem się na informacje że w systemie Windows XP i w innych produktach firmy Microsoft zostały zamieszczone listy firm i organizacji uważanych za urzędy zaufane. Jeżeli użytkownik otrzyma certyfikat wystawiony przez niezaufany urząd główny, komputer nawiąże połączenie z witryną Windows Update w sieci Web w celu sprawdzenia, czy ten urząd certyfikacji został dodany przez firmę Microsoft do listy urzędów zaufanych. Sprawdzanie przez Windows Update certyfikatów od urzędów głównych których nie ma na tej standardowej liście można wyłączyć dodając klucz w rejestrze:
Software\Policies\Microsoft\SystemCertificates\AuthRoot
REG_DWORD
DisableRootAutoUpdate
na wartość 1
Mam odpowiedź na swoje pytanie. Może się kiedyś komuś przyda :)
ok, a po kiego szyfrowac hash???? btw super odcinek
Jarosław Karcewicz na razie jestem na odc 4 o x509 klucza publicznego ale odcinki sa długie, myślałem dlaczego sam mam wątpliwość ze coś jest szyfrowane a każdy i tak to odszyftowuje, nie każdy ma czas aby obejrzeć od deski do deski. ale lepsze długie odcinki i dobrze wytlumaczone niż krótkie i po lebkach:)
a co z kluczem prywatnym koalicjanta 1, skoro generuje obydwa? nim odszyfrowuje wiadomość zaszyfrowaną kluczem publicznym od drugiego koalicjanta?
Bob i Alice.. oraz Ewa
Nie dalem rady ogladac, za duzo chaosu. Z materialu mozna wyciac ponad 70% dywagacji. Powodzenia.
Konkretnie bez wodolejstwa.
Znacznie za dlugie te filmy, mozna by temat omowic o polowe krócej, w dzisiejszym świecie gdzie liczy sie czas. Za duzo tez niepotrzebnego dywagowania o niczym odbiegajac od konkretów. Poza tym calkiem ok.